個人情報流出の「Omiai」、データ管理ポリシー変更で再発防止へ 従来は免許証画像など10年保存
婚活マッチングサービス「Omiai」の会員情報が流出した問題で、運営元が調査結果と再発防止策を発表した。
2021年4月に婚活マッチングサービス「Omiai」の会員情報約171万件が流出した問題で、運営元のネットマーケティング(東京都港区)は8月11日、調査結果と再発防止策を発表した。従来は運転免許証などの年齢確認書類データをユーザー退会後10年間にわたって保存するポリシーだったが、ユーザーの提出から72時間で自動削除するよう改める。
調査によると、4月20〜26日にかけて同社APIサーバを経由して、クラウドサーバに保存した年齢確認書類データが複数回にわたって第三者に取得された。「第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、画像データへのリクエストを大量生成することで、不正アクセスに成功した」と同社は説明している。
マルウェア攻撃やシステムの脆弱性を突いた不正アクセスではなく、正規のデータリクエストを装っていたため発見が遅れたという。不正取得されたという「年齢確認書類画像データにアクセスするための情報」の種類や認証方式については「セキュリティに関わることなので回答できない」(同社)としている。
流出を確認したのは、運転免許証、健康保険証、パスポート、マイナンバーカード表面などの画像データ171万1756件。このうち9割超が運転免許証、健康保険証の画像データという。8月11日時点で2次被害などの発生は確認していない。
再発防止策として、外部ネットワークからのアクセス/リクエスト制限の厳格化や、アプリケーション認証設定の見直しなどを実施。また、これまでは年齢確認書類データを暗号化せず、ユーザーの退会後10年間にわたって保存するポリシーだったが、12月1日にデータ管理ポリシーを変更。年齢確認書類データはユーザーの提出から72時間で自動削除し、会員の個人情報は退会後90日で削除するよう改める。
流出が明らかになった約171万件のデータは、2次被害の確認などに用いるため、当面は暗号化した上で外部インターネットから遮断されたサーバに保管する。同社が保管の必要がないと判断した時点で速やかに削除するとしている。
関連記事
- マッチングアプリ「Omiai」に不正アクセス 免許証など本人確認書類の写し約171万件が流出した可能性
ネットマーケティングが、婚活マッチングサービス「Omiai」の情報を管理するサーバに不正アクセスを受け、年齢確認に利用した免許証やマイナンバーカードの画像など171万1756件の画像が流出した可能性があると発表した。 - 「Omiai」運営元、企業サイトのフォームからも情報流出 「システム設定の不備」で
ユーザーの免許証データなど171万件が流出した可能性のある「Omiai」に関連して、新たな情報流出。企業サイトの問い合わせフォームに入力した内容が、他社から閲覧できる状態になっていた。 - データを暗号化したままディープラーニング NTTが「秘密計算」で新技術
NTTは、データを暗号化したまま標準的なディープラーニングの学習処理を行える技術を開発したと発表した。同技術の実現は世界初という。 - なぜ、宅ふぁいる便は「暗号化」していなかったのか
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.